今年8月资安业者SafeBreach在Black Hat USA 2024、DEF CON 32两场大型资安会议上，揭露Windows Downdate降级攻击，攻击者可借由窗口操作系统的弱点，对于重要组件进行降级，从而曝露原本已经修补完成的漏洞，其中一个借由降级攻击引发的弱点是CVE-2024-21302（CVSS风险评为6.7），微软获报后也在同月发布修补程序，如今研究人员公布更多细节，并提及一种新的降级攻击手法。

研究人员提及，虽然微软对CVE-2024-21302发布了修补程序，但他们发现，微软目前只处理已跨越安全边界的部分，而对于能够接管自动更新机制Microsoft Update的部分，由于这项弱点涉及以管理员身分运行内核代码，微软不认为此举跨越安全边界而未处理，但实际上，仍有可能遭人滥用。

他们发现，攻击者若是能利用接管Microsoft Update的弱点，就有机会绕过驱动程序强制签章（DSE）的系统内核防护机制，进而加载尚未签章的驱动程序，并部署rootkit恶意程序，甚至能隐藏特定处理进程、网络活动、破坏操作系统的安全管控机制。研究人员将这种攻击手法命名为ItsNotASecurityBoundary，并在完整套用所有更新的Windows 11 23H2操作系统上，展示如何用来发动降级攻击，

针对于这项绕过DSE的攻击手法，研究人员解释这是涉及「文件假性不变（False File Immutability，FFI）」的新型态漏洞，此类弱点源自于文件理应不会被变更的错误假设。

他们进一步举例说明。照理来说，封锁写入的存取共享机制将使得文件不会被受到变更，但若是攻击者借由清理系统运作环境，并在文件于内存存取的过程当中，触发内存分页错误，就有机会导致文件重新读取甚至是更改。

这种双重读取的状况，本质上，也涉及从检查时间到使用时间（ Time-of-Check to Time-of-Use，TOCTOU）的竞争，攻击者有机会借此置换成未经签章的恶意版本内核驱动程序，当操作系统处理驱动程序列表的过程里，便会将该驱动程序的验证码视为有效并允许加载，从而达成ItsNotASecurityBoundary攻击。